Ich greife mal in einem Sammelbeitrag einige Sicherheitsvorfälle sowie einen Ausfall bei einem Anbieter auf. So hat wohl ein Cyberangriff auf den Pharma-Großhändler AEP stattgefunden. Die Webseiten des Anbieters von CRM-Systemen, CAS, waren down (und sich es teilweise noch – Ergänzung: Die sind Opfer eines Cyberangriffs geworden). Ein Leser informierte mich zudem über Sophos-Meldungen, die die Seite flavorseal.com als schädlich bemängeln, usw.
Anzeige
Sophos bemängelt flavorseal.com
Die Webseite flavorseal.com befasst sich mit dem Verpacken von Fleisch (Wurst, etc.) für die Lebensmittelindustrie (siehe folgender Screenshot).
Ein Blog-Leser wies mich darauf hin (danke dafür), dass die Sicherheitslösungen von Sophos derzeit die Webseite flavorseal.com als unsicher bemängeln. Der Grund ist, dass auf der Webseite ein Skript von blacksaltys.com im Hintergrund ausgeführt wird.
Beim ersten Aufruf der Webseite flavorseal.com wurde ich zum Google Play Store umgeleitet – Erinnerungsmäßig wurde dort die TikTop-App zum Download angeboten. Auf VirusTotal listen gleich 21 von 96 Virenscannern die Seite als "Malicious", Malware oder Phishing-Seite auf.
Anzeige
So ganz koscher ist der Webauftritt des Unternehmens also nicht. Vermutlich hat jemand denen das Script untergejubelt.
Cyberangriff auf AEP
Die AEP GmbH ist als Großhändler aus Alzenau im Bereich Pharmahandel für Apotheken aktiv. Das Unternehmen informiert auf seiner Webseite, dass man am Montag, den 28. Oktober 2024, Opfer eines Cyberangriffs geworden sei. Das Ganze hat Auswirkung auf die Belieferung von Apotheken.
Den Angreifern ist es wohl gelungen, die IT-Systeme teilweise zu verschlüsseln. Der Vorfall wurde zwar von den Sicherheitssystemen erkannt und es wurden sofort notwendige Schutzmaßnahmen ergriffen.
Aber durch die Verschlüsselung ist der Betrieb wohl eingeschränkt. Es wurden umgehend alle Außenverbindungen getrennt und alle betroffenen IT-Systeme heruntergefahren. Das Unternehmen ist aktuell telefonisch nicht und per E-Mail nur sehr eingeschränkt erreichbar. apotheke adhoc berichtet hier, dass die Dienstags-Lieferung (29.10.2024) ausfällt.
Aktuell untersucht das Unternehmen mit Unterstützung externer Experten das Ausmaß des Angriffs. Es wird eine forensische Analyse durchgeführt, was genau passiert ist. Daher gibt es wohl noch keine Details, was genau passiert ist, welche Systeme betroffen sind und ob Kundendaten abgezogen wurden. Danke an den Leser für den Hinweis.
CRM-System-Anbieter CAS offline – Cyberangriff
Ein Leser hat mich bereits am gestrigen 29. Oktober 2024 darauf hingewiesen (danke), dass die Firma CAS, ein Anbieter für CRM-Systeme, komplett offline sei.
Die Webseite, Telefon und E-Mail funktionierten nicht mehr. Mittlerweile konnte ich die Hauptseite des Webauftritts wieder erreichen – und laut Leser geht deren Mail-System auch wieder. Telefonie und die Unterwebseiten sind noch offline.
Auf Seiten wie den helpdesk unter cas.de komme ich immer noch nicht. Auch das Kundenportal ist wohl nicht erreichbar, wie ich gerade feststelle. Der Blog-Leser merkte an, dass von einem DDoS-Angriff von Seiten des Herstellers die Rede gewesen sei. Das passt aber nicht zu den Ausfällen der Unterseiten. Möglicherweise ist das auch der Grund, warum es noch keine Meldung über die Ursache der Probleme gibt. Der Leser schrieb, dass der Hersteller auf Anfragen nicht reagiert. Ich habe mal bei deren Pressestelle nachgefragt, aber noch keine Antwort erhalten. Weiß jemand, was da los ist?
Ergänzung: Der obige Ausfall war ein Cyberangriff – die Presseabteilung von denen hat zwar nicht auf meine Anfrage geantwortet. Auf BlueSky hat ein Leser mich auf auf diesen Tweet hingewiesen. Die erst seit Oktober 2024 in Erscheinung getretene Ransomware-Gruppe Sarcoma reklamiert einen Angriff auf CAS Software.
According to ransomware.live, sarcoma ransomware group has added CAS Software to its victims.
Es wurden angeblich 6 GB an Daten abgezogen, darunter SQL-Datenbanken und E-Mails aus einem MS Exchange-System. Die Gruppe droht am 31.10.2024, dass die erbeuteten Daten in 20 Tagen veröffentlicht werden. Sarcoma reklamiert übrigens auch einen Angriff auf die SRS-Stahl GmbH, wie ich gesehen habe. Und dort taucht der Zahlungsanbieter easypay, der Zahlungen per App abwickelt, auf.
Ergänzung: Inzwischen hat mich ein Leser drauf hingewiesen, dass CAS den Cyberangriff in einer Meldung zum 4. November 2024 eingestanden hat.
Betriebsstörung der CAS Software AG durch Cyberangriff
Ein krimineller Cyberangriff auf unsere CAS-eigene Betriebsinfrastruktur hat zu partiellen Betriebsstörungen geführt. Unsere Sicherheitsmechanismen wurden umgehend aktiviert und es wurden weitreichende Schutzmaßnahmen ergriffen. Zum Angriff zählte auch ein anhaltender Denial-of-Service-Angriff auf unsere Webseite cas.de. Wir konnten diesen Angriff jedoch rasch abwehren und die Webseite steht wieder wie gewohnt zur Verfügung.
Zurzeit untersuchen wir den Angriff gemeinsam mit unserem Dienstleister, der auf der APT-Dienstleisterliste des Bundesamts für Sicherheit in der Informationstechnik (BSI) verzeichnet ist, im Detail und orientieren uns bei der Vorgehensweise an den BSI-Richtlinien. Entsprechende Notfallpläne und Sicherheitsmaßnahmen wurden zeitnah aktiviert.
Unsere Rechenzentren für das zentrale Standardprodukt-Hosting wie z.B. Produkt-Konfiguratoren, SmartWe und CAS Communities waren nicht betroffen. Diese Systeme sind weiterhin ohne Störungen in Betrieb, und es gibt keine Anhaltspunkte für unberechtigte Zugriffe.
Wir möchten ausdrücklich darauf hinweisen, dass keinerlei Anzeichen dafür vorliegen, dass Eigenschaften unserer Produkte zur Herbeiführung der Betriebsstörung beigetragen haben könnten. Ebenso möchten wir betonen, dass der Betrieb von CAS-Lösungen bei Ihnen als Kunden und bei unseren Partnern nicht betroffen sind. Einschränkungen bestehen hier aktuell z.B. bei Nutzung der Onlinehilfe und der Adressdienste.
Wir sind über die bekannten Kommunikationskanäle wie E-Mail und Telefon erreichbar.
Wir setzen alles daran, diesen Vorfall vollständig aufzuklären und unseren Betrieb sowie unsere Services zuverlässig für Sie sicherzustellen. Falls Sie Fragen oder Anliegen haben, stehen wir Ihnen jederzeit gerne zur Verfügung.
Ergänzung 2: Ein Leser hat mich zum 21.11.2024 darauf hingewiesen, dass das CAS-Datenleck mit 560 GByte als ZIP-Archiv wohl größer als angegeben ausgefallen sein muss. Der Fall hat wohl auch die im Beitrag United Kiosk AG: Webseite seit Mitte Oktober 2024 gestört beschriebenen Probleme ausgelöst.
Ausfall beim Hoster OVH
Ein weiterer Blog-Leser informierte mich (danke dafür), dass Ovh (französischer Cloud-Hoster) am heutigen 30. Oktober 2024 gegen 13:50 ein Netzwerk Problem in ihrem Rechen Zentrum hatten. Dabei waren wohl mehrere Dienste ausgefallen. Der Leser hat es in der Firma durch den Ausfall der Alcatel Rainbow Systeme gemerkt:
Sonst noch jemand betroffen?
GMail-Nutzer im Fokus von Cyberkriminellen
Es ist ein Thema, was schon einige Wochen "köchelt": Nutzer des GMail-Diensts von Google stehen im Fokus von Cyberkriminellen. Ziel ist es, mittels Künstlicher Intelligenz, über Phinging-Mails sowie Telefonanrufe Nutzer zur Preisgabe persönlicher Daten zu verleiten und so GMail-Kontenzugänge zu übernehmen.
Sam Mitrovic, ein Microsoft Solutions Consultant, wäre beinahe Opfer dieser Betrugsmasche geworden und hat das Ganze Anfang September 2024 in seinem Blog im Artikel Gmail Account Takeover: Super Realistic AI Scam Call beschrieben. Bei ntv hat man das Thema in diesem Artikel aufgegriffen – ein Blog-Leser informierte mich kürzlich auf Facbook über diese Masche.
Anzeige
Anydesk .. (ja wir müssen es noch nutzen) war auch heute gegen 13:50 – 14:30 Uhr nur schwer nutzbar.
Unter
https://urlscan.io/search/#task.tags:%22magecart%22
werden täglich zwischen 20 und 100++ Webseiten mit einem "Creditcard-stealer" (Type "Magecart") angezeigt.
Mit wenigen Ausnahmen wird recht wenig darüber berichtet, obwohl es eine ordentliche Gefährdung vieler Web-Shops ist.
https://blog.sucuri.net/2024/09/sitecheck-remote-website-scanner-mid-year-2024-report.html
(600.000 Web-Seiten waren in H1/2024 zeitweise infiziert)
Kann es sein, dass bei Google etwas mehr los ist?
Ich versuche mich gerade auf meinen Konten in Gmail anzumelden und es sollte eine Identitätbestätigung(oder Recovery) per Computer/etwas anderem erfolgen.
Nach einem erneuten Anmeldeversuch konnte ich mich anmelden aber es erscheinen komische Dinge wie "Ihr Gerät wird an einem anderen Standort verwendet".
Dann taucht im Smartphone unter Konten bei manchen Konten die Displaysperre auf damit ich mich selber bestätige, danach habe ich ein weiteres Gerät in der Liste unter "Sicherheit".
Mein Gerät ist als Google Pixel 8 registriert und das war nie ein anderer Name oder als mehrere Pixels registriert, nun erschien ein "Pixel 8" zusätzlich.
Aber nicht in allen Konten. Dafür verschwinden teilweise eingeloggte Session am Computer, die werden einfach nicht angezeigt.
Unter "Sicherheit" in Google Konto habe ich die mir nicht zuordbaren Sessions beendet.
Mir scheint das Verhalten etwas komisch zu sein, das war sonst nicht so.
Ich habe dazu das gefunden:
The Latest AI-Driven Gmail Attack Is Scary Good
https://www.forbes.com/sites/daveywinder/2024/10/13/new-gmail-security-alert-for-billions-as-7-day-ai-hack-confirmed/
Thema CAS:
Ich habe bereits am vergangenen Donnerstag (24.10.) davon gehört, dass eine neue CRM-Lizenz nicht aktiviert werden konnte.
Der hinzugezogene Support des Lizenz-Lieferanten, wunderte sich demnach erst und meinte dann sinngemäß „Ach ja, die CAS wurde ja am Montag gehackt, da sind noch nicht alle Server wieder da, das kann noch paar Tage dauern, daher geht das gerade nicht".
Bei der schnellen Recherche konnte ich seinerzeit keine weiteren Hinweise finden, die Homepage gab keine Informationen her, nur im Google Cache ließ sich im Vorschautext noch zumindest ein Hinweis auf zuletzt bestehende „Probleme" finden:
„Unser Team arbeitet mit höchster Priorität an der Lösung des Problems, um die gewohnte Verfügbarkeit schnellstmöglich wiederherzustellen Wir bitten um Ihr…."